MutantBedrog: невидимая рука, управляющая вашим браузером

MutantBedrog: невидимая рука, управляющая вашим браузером

Злоумышленники научились использовать Trusted-Types против пользователей.

image

В середине 2024 года специалисты по кибербезопасности из компании Confiant обратили внимание на нового вредоносного актора под названием MutantBedrog. Этот злоумышленник вызвал тревогу благодаря активным кампаниям принудительных перенаправлений пользователей на вредоносные сайты, сопровождаемых уникальными JavaScript-скриптами для сканирования устройств и отправки на фальшивые страницы.

Особое внимание экспертов привлекли многочисленные упоминания политик безопасности контента (CSP) и Trusted-Types в коде этих скриптов. Trusted-Types — это механизм защиты, используемый для предотвращения XSS-атак и других опасных сценариев выполнения JavaScript. Однако MutantBedrog нашёл способ обходить эту защиту на каждом этапе выполнения скриптов.

Пример, взятый из кода MutantBedrog, продемонстрировал, что скрипт использует политику Trusted-Types для создания вредоносных URL и запуска их через динамически созданные элементы на странице. Это дало злоумышленникам возможность выполнять перенаправления и инъекции скриптов даже при строгих ограничениях CSP.

При проведении экспериментов с этим кодом эксперты подтвердили, что Trusted-Types CSP может быть обойдён в рамках многоэтапной стратегии выполнения скриптов. Такие скрипты не блокируются, так как они выполняются в доверенной области (Friendly Frame), где правила политики не всегда применяются в полной мере.

Однако дальнейшие тесты показали, что браузер блокирует некоторые скрипты, пытающиеся создать элементы DOM и изменить их содержимое напрямую. Для обхода этого ограничения, MutantBedrog использует дополнительные этапы инъекции Trusted-Types, создавая ещё более сложные сценарии для обхода защиты.

После глубокого анализа этого случая эксперты пришли к выводу, что проблема не является багом браузера. Согласно спецификациям, политики безопасности контента не распространяются на iframe, загруженные через сетевые запросы, что открывает возможность для злоупотребления, если содержимое iframe исходит из доверенного источника.

Этот случай показывает, что даже продвинутые механизмы безопасности, такие как CSP и Trusted-Types, могут быть уязвимы для обхода в условиях сложных атак. Технически подкованные злоумышленники, такие как MutantBedrog, активно исследуют и используют слабости в механизмах защиты браузеров, что подчёркивает необходимость постоянного совершенствования этих технологий для противодействия новым угрозам.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!